Introduction aux services d’identité Apple
Apple fournit à votre organisation divers services d’identité afin de vous aider à gérer les mots de passe et les noms d’utilisateur en toute sécurité, tant sur votre lieu de travail que dans le nuage. Apple utilise des mesures de sécurité telles que l’authentification, l’autorisation et la fédération d’identités afin que les utilisateurs individuels puissent accéder à leurs apps et autres ressources préférées sans avoir, par exemple, à créer des noms d’utilisateur et des mots de passe pour chacune d’entre elles.
Vous trouverez ci-dessous un aperçu des principales méthodes de service d’identité, à savoir l’authentification, l’autorisation et la fédération d’identités ainsi que des exemples de la façon dont Apple les utilise dans les services d’identité.
Authentification et services Apple associés
La première étape d’un processus de sécurité est l’authentification. L’authentification vérifie l’identité de l’utilisateur afin de s’assurer que celui-ci est légitime.
Apple utilise plusieurs méthodes d’authentification. Avec l’authentification unique et les services Apple, tels que le compte Apple personnel, le compte Apple géré, iCloud, iMessage et FaceTime, les utilisateurs peuvent communiquer en toute sécurité, créer des documents en ligne et sauvegarder leurs données personnelles, le tout sans compromettre les données de leur organisation. Chaque service utilise sa propre architecture de sécurité. De cette façon, Apple garantit une manipulation sécurisée des données (sur un appareil Apple ou en transit sur un réseau sans fil), protège les informations personnelles de l’utilisateur et protège les informations et les services contre tout accès malveillant ou non autorisé. En outre, Apple dispose d’une solution intégrée de gestion des appareils mobiles (GAM) qui prend en charge les solutions de GAM pour restreindre et gérer l’accès à certains services sur les appareils Apple.
Autorisation et services Apple associés
Alors que l’authentification prouve votre identité, l’autorisation définit ce que les utilisateurs sont autorisés à faire. Pour que l’autorisation fonctionne, vous fournissez un nom d’utilisateur et un mot de passe à un fournisseur d’identité. D’un point de vue conceptuel, le fournisseur d’identité est l’« autorité », le nom d’utilisateur et le mot de passe sont l’« assertion » (parce que cette personne « valide » son identité) et les données qu’un utilisateur reçoit après s’être connecté avec succès constituent le « jeton ».
Apple utilise de nombreux types de jetons et de nombreux types d’assertions. Parmi les assertions qui peuvent être utilisées figurent les certificats, les cartes intelligentes et autres appareils d’identification à plusieurs facteurs.
Fédération d’identité
La fédération d’identité est le processus qui consiste à établir la confiance entre les fournisseurs d’identité sur différents domaines de sécurité, afin que les utilisateurs puissent ensuite se déplacer librement entre les systèmes tout en maintenant la sécurité. Pour que la fédération d’identités fonctionne, les administrateurs doivent mettre en place des domaines qui se font mutuellement confiance et ils doivent convenir d’une méthode unique pour identifier les utilisateurs.
Un exemple courant de fédération d’identité est l’utilisation de votre compte d’entreprise pour vous connecter à un fournisseur d’identité. Par exemple, pour simplifier la création des comptes Apple gérés pour une organisation, Apple a activé la fédération entre un fournisseur d’identité, Google Workspace et Microsoft Entra ID ainsi qu’Apple School Manager, Apple Business Manager ou Apple Business Essentials. Les utilisateurs peuvent ensuite avoir recours à leur fournisseur d’identité et à leurs comptes Google Workspace ou Microsoft Entra ID existants pour se connecter à iCloud ou aux appareils Apple associés à Apple School Manager, Apple Business Manager ou Apple Business Essentials. Si un utilisateur n’est pas forcé de valider son identité de nouveau, la fédération est effectuée à l’aide de l’authentification unique ou d’une extension d’authentification unique Kerberos.